CVE-2013-0422 in Java
الملخص
بحسب VulDB • 09/06/2026
تتيح ثغرات متعددة في Oracle Java 7 قبل الإصدار التحديثي 11 لمهاجمين عن بُعد تنفيذ شيفرة عشوائية من خلال (1) استخدام الطريقة العامة getMBeanInstantiator الموجودة في فئة JmxMBeanServer للحصول على مرجع إلى كائن MBeanInstantiator الخاص، ثم استرجاع مراجع فئات عشوائية باستخدام طريقة findClass؛ و(2) استخدام واجهة برمجة التطبيقات الخاصة بالانعكاس (Reflection API) مع تكرار بطريقة تتجاوز فحص الأمان الذي تقوم به الطريقة checkSecurityManager التابعة لفئة java.lang.invoke.MethodHandles.Lookup بسبب عدم قدرة الطريقة sun.reflect.Reflection.getCallerClass على تخطي الإطارات المتعلقة بواجهة برمجة التطبيقات الجديدة للانعكاس، كما تم استغلالها في البرية خلال يناير 2013، وذلك بما أظهرته هجمات Blackhole وNuclear Pack. وتختلف هذه الثغرة عن CVE-2012-4681 وCVE-2012-3174. ملاحظة: قامت بعض الجهات بربط مشكلة واجهة برمجة التطبيقات الخاصة بالانعكاس المتكررة (recursive Reflection API) بـ CVE-2012-3174، لكن CVE-2012-3174 تتعلق بثغرة مختلفة لا تزال تفاصيلها غير متاحة للجمهور اعتباراً من 14 يناير 2013. يغطي CVE-2013-0422 كلاً من مشكلتي JMX/MBean وواجهة برمجة التطبيقات الخاصة بالانعكاس (Reflection API). ملاحظة: كان قد أُبلغ في الأصل عن أن Java 6 أيضاً عرضة للخطر، لكن المُبلّغ سحب هذا الادعاء، معلناًً بأن Java 6 غير قابل للاستغلال لأن الشيفرة ذات الصلة تُستدعى بطريقة لا تتجاوز فحوصات الأمان. ملاحظة: اعتباراً من 14 يناير 2013، زعم طرف ثالث موثوق أن متجه findClass/MBeanInstantiator لم يتم إصلاحه في Oracle Java 7 Update 11. إذا كانت هناك حالة ثغرة قائمة بعد ذلك، فقد يُنشأ معرّف CVE منفصل للمشكلة غير المُصلحة.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.